#StopRansomware: ゴースト(クリング)ランサムウェア
連邦捜査局(FBI)、サイバーセキュリティー・インフラストラクチャー・セキュリティー・エージェンシー(CISA)、およびマルチステート・インフォメーション・シェアリング・アンド・アナリシス・センター(MS-ISAC)は、Ghost(Cring)ランサムウェア・ヴァリアントに関する共同アドバイザリーを発表した。このアドバイザリーでは、中国に拠点を置くGhostアクターが、2021年初頭以来、金融利益を目的として広範囲にわたる攻撃を実施していることを明らかにした。標的となった組織は、70ヶ国以上にわたり、クリティカル・インフラストラクチャー、学校、ヘルスケア、政府ネットワーク、小中規模のビジネスなど多岐にわたる。Ghostアクターは、パブリックリー・アベイラブル・コードを使用して、Common Vulnerabilities and Exposures(CVEs)を悪用し、インターネット・フェイシング・サーバーにアクセスを取得する。彼らは、ランサムウェア・エクゼキュータブル・ペイロードをローテートし、暗号化されたファイルのファイル・エクステンションを切り替え、身代金ノートのテキストを変更し、多くの身代金・メール・アドレスを使用することで、帰属を困難にしている。彼らは、Cobalt Strikeを含む様々なツールを使用して、脆弱性を悪用し、アクセスを取得し、被害者のネットワーク内で横断的に移動する。アドバイザリーでは、Ghostアクターが使用する戦術、技術、手順(TTPs)に関する技術的詳細を提供している。これには、初期アクセス、実行、パーシステンス、特権エスカレーション、資格アクセス、ディフェンス・イヴェイション、ディスカバリー、ラテラル・ムーブメント、エクスフィルトレーション、コマンド・アンド・コントロールが含まれる。彼らは、コバルト・ストライク・ビーコン・マルウェアとコバルト・ストライク・チーム・サーバーを使用して、コマンド・アンド・コントロール・オペレーションを実施している。Ghostランサムウェア・アクティビティーの影響は、被害者ごとに大きく異なるが、通常は、暗号化ソフトウェアの引き換えに、十万から数十万ドル相当の暗号通貨を要求している。アドバイザリーでは、組織に対し、Ghostランサムウェア・インシデントの可能性と影響を低減するための推奨事項を実施することを勧めている。